Merhaba,

estaffurullah diyerek soze başlayayım. PIX 7.0da çok fazla yeni özellik gelecek. Split tunelde sakınca yokken derken de niyetim Serhat ileaynı. Çünkü makinada antivirüs, hids,personal fw veya cisco securtiy agent tarzı bir program yüklü ise makina kendini koruyacaktır.

Sırf bu makinalar virüs vs etkilenmesin diye split tunel yapılmadan direk merkezden çıkarılmak isteniyorsa bu çözüm değildir. Kullanıcı vpn client'ı koparınca yine internete dolaşacak. virüs vs'den etkilenecekse yine etkilenecektir.

Hakan


-----Original Message-----
From: Serhat Erkan [mailto:[email protected]]
Sent: Wednesday, March 24, 2004 9:54 AM
To: [email][email protected][/email]
Subject: RE: [cisco-ttl] vpn-internet sorunu


selam,
Açıkçası PIX açısından şanssız bir durum. Her ne kadar son 2 senede PIX çok yol kat etsede, sanırım burada çuvallamış. Ayrıca SPLIT tunel yapmak merkezdeki politikaları uygulayamamak açısından hoş bir durum değil (tabii eğer proxy uygulanmazsa). Eğer Websense, web antivirus check gibi yan uygulamalar varsa kesinlikle NO SPLIT derim ..

Ama CCIE olmuş arkadaşlarımız bize "no problem" derse bizde eger basimizi yapariz konfigurasyonu !..

Serhat

-----Original Message-----
From: Hakan Tagmac (htagmac) [mailto:[email protected]]
Sent: Tuesday, March 23, 2004 9:06 PM
To: [email][email protected][/email]
Subject: RE: [cisco-ttl] vpn-internet sorunu


Merhaba,

PIX outside interface'ine gelen vpn trafiği unencrypted olarak aynı interface'den dışarı çıkamaz. Router ve vpn3000'de ise tek bir interface'den gelen trafik aynı interface'den geri gidebilir.Bu durumda yapılabilecekler;Yaptığınız gibi split tunnel konfigure etmek. Böylelikle vpn client merkeze gidiyorsa kriptolu gider. Internete çıkıyorsa kriptosuz olarak direk gideceği yere gider. Böylelikle merkezdeki bandgenişliğinide olumsuz etkilemez. Bu yolun bir sakıncası yok.Diğer yol, Örneğin DMZ'e web proxy server koymak. VPN client merkeze gelir ve proxy üstünden internet çıkar.

Hakan


-----Original Message-----
From: Yalcin ERDEM [mailto:[email protected]]
Sent: Tuesday, March 23, 2004 2:45 PM
To: [email][email protected][/email]
Subject: [cisco-ttl] vpn-internet sorunu



Merhaba;

Şirkette tanımladığım vpnle bağlanan kullanıcılar vpn e bağlandıklarında internet e erişemez hale geliyorlar.firewallda vpngroup superteam split-tunnel 80

Komutunu yazdığımda internet bağlanabilyorlar ancak şirketin çıkış ipsinden değil internete bağlanırken ispden aldıkları ip ile.

Ben vpn connected olduğu zaman internet çıkışlarını da şirket üzerinden istiyorum. Bu konuda yardım edebilir misiniz?

Konfigurasyonum:



aaa-server partnerauth protocol radius

aaa-server radius protocol radius

aaa-server partnerauth (inside) host 10.0.0.32 xxxxxx timeout 5

isakmp policy 8 encr 3des

isakmp policy 8 hash md5

isakmp policy 8 authentication pre-share

isakmp policy 8 group 2

crypto ipsec transform-set strong-des esp-3des esp-sha-hmac

crypto dynamic-map cisco 4 set transform-set strong-des

crypto map partner-map 20 ipsec-isakmp dynamic cisco

crypto map partner-map interface outside

crypto map partner-map client authentication partnerauth

crypto map partner-map client configuration address initiate

isakmp key Pass12345 address 0.0.0.0 netmask 0.0.0.0

access-list 80 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0

nat (inside) 0 access-list 80

ip local pool sirket 10.1.1.1-10.1.1.254

vpngroup superteam address-pool sirket

vpngroup superteam dns-server 10.0.0.5

vpngroup superteam wins-server 10.0.0.5

vpngroup superteam default-domain tikle.com

vpngroup superteam idle-time 1800